SWIFT Alliance Messaging Hub (AMH) mit Alliance Connect Virtual

In diesem Artikel wird eine empfohlene Lösung zum Bereitstellen des SWIFT Alliance Messaging Hubs (AMH) in Azure beschrieben. Sie können die Lösung in einem einzelnen Azure-Abonnement bereitstellen. Für eine bessere Verwaltung und Governance der Lösung wird jedoch empfohlen, zwei Azure-Abonnements zu verwenden:

• Ein Abonnement enthält die AMH-Komponenten.
• Das andere Abonnement enthält die Ressourcen für die Verbindungsherstellung mit dem SWIFT-Netzwerk über Alliance Connect Virtual.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter. Weitere Informationen finden Sie auf der Registerkarte AMH (All-GoldSilverBronze).

Diese Azure-Lösung verwendet dieselbe Topologie wie die lokale Umgebung. Lokale Umgebungen lassen sich in zwei Kategorien unterteilen:

• Geschäftsbenutzer. Der Standort, den Geschäftsbenutzer und Geschäftsanwendungen für den Zugriff auf AMH verwenden.
• Hardware-Sicherheitsmodul. Der Standort, an dem die von SWIFT bereitgestellte HSM-Appliance (Hardware-Sicherheitsmodul) gehostet wird.

Workflow

• Ein Geschäftsbenutzer oder eine Anwendung am lokalen Standort der Organisation (Geschäftsbenutzer) stellt eine Netzwerkverbindung mit AMH her.
• AMH verarbeitet die Benutzeranforderung in Abstimmung mit SWIFT Alliance Gateway (SAG) und SWIFTNet Link (SNL).
• Die SAG- und SNL-Komponenten stellen eine Verbindung mit dem lokalen Standort der Organisation (HSM) her, um die Nachricht zu signieren.
• Das Alliance Connect Virtual-Abonnement enthält die zusätzlichen Komponenten, die erforderlich sind, um die Konnektivität mit SWIFTNet zu ermöglichen.
• Die Hochverfügbarkeit ist aktiviert, da die vSRX-Komponenten in der Architektur redundant in zwei Azure-Verfügbarkeitszonen bereitgestellt werden.
• HA-VM 1 und HA-VM 2 überwachen und verwalten die Routing-Tabellen, um eine höhere Resilienz zu gewährleisten und die Verfügbarkeit der Lösung zu verbessern.
• Die Alliance Connect Virtual-Netzwerklösung leitet die Nachricht an SWIFTNet weiter.
• Die Verbindung zwischen SWIFTNet und kundenspezifischen Netzwerkkomponenten kann die dedizierte Azure ExpressRoute-Leitung oder das Internet verwenden. SWIFT bietet drei Konnektivitätsoptionen: Bronze, Silber und Gold. Sie können die Option auswählen, die am besten für das Volumen des Datenverkehrs Ihrer Nachrichten und die erforderliche Resilienz geeignet ist. Weitere Informationen zu diesen Optionen finden Sie unter Alliance Connect: Bronze-, Silber- und Gold-Pakete.
• Azure-Dienste, die in Ihrem optionalen freigegebenen Azure-Dienst-Abonnement ausgeführt werden, bieten zusätzliche Verwaltungs- und Betriebsdienste.

AMH erfordert Netzwerkkonnektivität mit SAG und SNL.

• SAG bietet mehrere Integrationspunkte und Vereinheitlichung verschiedener Nachrichtentypen zwischen SWIFT-Modulen und SWIFTNet.
• SNL stellt eine API-Schnittstelle zwischen SWIFT-Modulen und SWIFTNet bereit.

Es wird empfohlen, SWIFT-Module sowie SAG- und SNL-Komponenten im gleichen virtuellen Azure-Netzwerk bereitzustellen. Sie können sie über separate Subnetze im virtuellen Netzwerk oder in Ressourcengruppen bereitstellen.

Eine wichtige Komponente von AMH ist der AMH-Knoten, auf dem eine Benutzeroberfläche, eine Datenbank und ein Messaging-System ausgeführt werden. Der AMH-Knoten stellt das Web-Frontend bereit, auf dem die Benutzeroberfläche und die Signal Transfer Point(STP)-Nachrichtenverarbeitung ausgeführt werden.

• Der AMH-Knoten wird auf der JBoss Enterprise Application Platform (EAP) unter Red Hat Enterprise Linux (RHEL) ausgeführt.
• Die Datenbank wird in Oracle ausgeführt.
• Das Messaging-System wird in der Regel in Websphere MQ ausgeführt, aber Sie können auch einen beliebigen mit dem JMS konformen Messaging-Dienst verwenden.
• Zusätzliche virtuelle Computer (HA-VM 1 und HA-VM 2) überwachen und verwalten die Routing-Tabellen von SAG, NSL und anderen Komponenten.

Die folgenden Azure-Infrastrukturdienste sind ebenfalls Teil dieser Lösung:

• Sie benötigen ein Azure-Abonnement, um AMH bereitzustellen. Es wird empfohlen, ein neues Azure-Abonnement zum Verwalten und Skalieren von AMH zu verwenden.
• Die Lösung stellt AMH in einer Azure-Region mithilfe einer Azure-Ressourcengruppe bereit. Es wird empfohlen, eine separate Ressourcengruppe für AMH, SAG und SNL einzurichten.
• Eine Azure Virtual Network-Instanz bildet eine private Netzwerkgrenze um die AMH-Bereitstellung. Die Lösung verwendet einen Netzwerkadressraum, der nicht mit dem lokalen Standort des Geschäftskunden, dem lokalen HSM-Standort oder der Alliance Connect Virtual-Netzwerklösung in Konflikt steht.
• Die Lösung stellt die AMH-Kernkomponenten, darunter das Frontend, die Datenbank und das Messaging-System, in separaten Virtual Network-Subnetzen bereit. Wenn Sie diese Konfiguration verwenden, können Sie den Datenverkehr zwischen ihnen mithilfe von Netzwerksicherheitsgruppen steuern.
• Azure-Routentabellen bieten folgende Möglichkeiten:
  • Steuerung der Netzwerkkonnektivität zwischen AMH und dem lokalen Standort (HSM).
  • Konfiguration der Konnektivität zu SWIFTNet.
• Azure Load Balancer fungiert als Gateway für AMH. Geschäftsbenutzer und Anwendungen an einem lokalen Standort stellen eine Verbindung mit Load Balancer her, die Anforderungen an einen Pool von Back-End-VMs weiterleitet, auf denen das AMH-Front-End ausgeführt wird.
• Ausgehende Konnektivität von den AMH-VMs zum Internet wird über Azure Firewall geleitet. Typische Beispiele für eine solche Konnektivität sind etwa Zeitsynchronisierung und Antivirus-Definitions-Updates.
• ExpressRoute oder Azure VPN Gateway verbindet die AMH-Komponenten mit dem lokalen Standort des Geschäftsbenutzers und dem lokalen HSM-Standort. ExpressRoute bietet dedizierte private Netzwerkkonnektivität. VPN Gateway verwendet eine internetbasierte Verbindung.
• Azure Virtual Machines stellt Compute-Dienste für die Ausführung von AMH zur Verfügung:
  • Eine computeoptimierte SKU führt den AMH-Knoten aus.
  • Eine speicheroptimierte SKU mit ausreichend Speicher führt die Datenbank aus.
  • Eine computeoptimierte SKU führt die Messagingkomponente aus.
• Verwaltete SSD Premium-Datenträger stellen sicher, dass AMH-Komponenten eine latenzarme Datenträgerleistung mit hohem Durchsatz erzielen. Azure Disk Storage bietet Sicherungs- und Wiederherstellungsfunktionen für Datenträger, die an virtuelle Computer angefügt sind.
• Um die Netzwerklatenz zwischen den AMH-Komponenten zu reduzieren, verwendet die Lösung Azure-Näherungsplatzierungsgruppen, die die AMH-VMs so nah wie möglich beieinander platzieren.

Komponenten

• Virtual Network ist der grundlegende Baustein für private Netzwerke in Azure. Über Virtual Network können Azure-Ressourcen wie virtuelle Computer mit verbesserten Sicherheitsverbindungen miteinander sowie mit dem Internet und lokalen Netzwerken kommunizieren.
• Load Balancer verteilt den eingehenden Datenverkehr an Instanzen im Back-End-Pool. Der Datenverkehr wird von Load Balancer gemäß den konfigurierten Lastenausgleichsregeln und Integritätstests weitergeleitet.
• Azure Firewall erzwingt Anwendungs- und Netzwerkkonnektivitätsrichtlinien. Dieser Netzwerksicherheitsdienst verwaltet die Richtlinien zentral über mehrere virtuelle Netzwerke und Abonnements hinweg.
• ExpressRoute erweitert lokale Netzwerke in die Microsoft-Cloud. Durch die Verwendung eines Konnektivitätsanbieters stellt ExpressRoute private Verbindungen zu Cloudkomponenten wie Azure-Diensten und Microsoft 365 her.
• Virtual Machines ist ein Infrastructure-as-a-Service(IaaS)-Angebot. Sie können mit Virtual Machines skalierbare Computingressourcen bedarfsorientiert bereitstellen. Virtual Machines bietet die Flexibilität der Virtualisierung, jedoch ohne den Wartungsaufwand für physische Hardware.
• Azure Disk Storage bietet hochleistungsfähigen, äußerst langlebigen Blockspeicher. Sie können diese verwalteten Speichervolumes mit Virtual Machines verwenden.

Szenariodetails

AMH ist eine der wichtigsten Messaging-Lösungen im SWIFT-Produktportfolio. AMH ist anpassbar und erfüllt die Messaginganforderungen von Finanzinstituten. AMH kann Finanzinstitute dabei unterstützen, neue Dienstleistungen und Produkte schnell und effizient auf dem Markt einzuführen. AMH kann Organisationen auch dabei unterstützen, die Sicherheits- und Compliance-Standards zu erfüllen, die für Finanznachrichten erforderlich sind.

Mögliche Anwendungsfälle

Diese Lösung ist optimal für den Finanzsektor.

Sie kann Vorteile für bestehende und neue SWIFT-Kunden bieten. Sie können sie für folgende Szenarien verwenden:

• Migrieren von AMH von lokalen Systemen zu Azure
• Einrichten einer neuen AMH-Umgebung in Azure

Überlegungen

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Wenn Sie weitere Informationen zu den folgenden Überlegungen benötigen, wenden Sie sich an Ihr Kontoteam bei Microsoft, das Sie bei der Implementierung von SWIFT in Azure unterstützen kann.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

• Stellen Sie AMH über Azure-Regionspaare hinweg bereit, damit sich ein regionaler Ausfall nicht auf die Verfügbarkeit der Workloads auswirken kann.
• Verwenden Sie Azure-Verfügbarkeitszonen innerhalb einer Azure-Region. Lösungskomponenten wie VM-Skalierungsgruppen und Azure Load Balancer unterstützen Verfügbarkeitszonen. Wenn Sie Verfügbarkeitszonen verwenden, ist Ihre Lösung auch bei einem Ausfall eines Azure-Rechenzentrums in der Region verfügbar.
• Verwenden Sie Azure Alerts, um die Metriken und Aktivitätsprotokolle wichtiger Komponenten wie Web-Komponenten, der Datenbank und Messaging-Komponenten zu überwachen.
• Verwenden Sie verwaltete Azure-Datenträger mit SSD Premium, um bis zu 20.000 IOPS und 900 MBit/s Durchsatz zu erreichen.
• Wenn Sie eine einzelne Verfügbarkeitszone in Azure verwenden, verwenden Sie Oracle Active Data Guard für die Zuverlässigkeit der Datenbank bei Ausfällen der Zone.
• Identifizieren Sie die Single Points of Failure in AMH wie regionale Ausfälle, die Komponenten betreffen. Planen Sie Abhilfemaßnahmen.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

• Verwenden Sie die neueste Implementierung der Customer Security Programme(CSP)-Kontrollen von SWIFT in Azure. Wenden Sie sich jedoch zuerst an Ihr Microsoft-Team.
• Verwenden Sie Defender for Cloud zum Schutz vor Bedrohungen, die Sicherheitsrisiken von Servern und Anwendungen ausnutzen. Defender for Cloud kann Sie dabei unterstützen, Bedrohungen schnell zu identifizieren, das Ermitteln von Bedrohungen zu optimieren und die Abwehr zu automatisieren.
• Verwenden Sie Azure Microsoft Entra ID und die rollenbasierte Zugriffssteuerung (RBAC), um den Zugriff auf Anwendungskomponenten zu beschränken.
• Verwenden Sie Microsoft Sentinel, um Sicherheitsereignisse und andere Ereignisse zu analysieren, die von Lösungskomponenten gemeldet werden. Dieser Dienst kann Ihnen helfen, schnell auf Anomalien und potenzielle Bedrohungen zu reagieren.

Kostenoptimierung

Bei der Kostenoptimierung geht es darum, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Informationen zum Schätzen der Kosten für die Azure-Ressourcen, die Sie zum Ausführen von AMH benötigen, finden Sie in dieser Schätzung im Azure-Preisrechner.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

• Verwenden Sie Azure Monitor, um die Lösungsinfrastruktur zu überwachen. Konfigurieren Sie Warnungen und Dashboards mithilfe von Log Analytics, um kritische Ereignisse zu erkennen und darauf zu reagieren.
• Verwenden Sie Application Insights für die Überwachung auf Anwendungsebene.
• Verwenden Sie deklarative Definitionen in Azure Policy, um Governance- und Konformitätsanforderungen zu erzwingen.
• Verwenden Sie für eine Zero-Touch-Bereitstellung einen Workflow für Continuous Integration und Continuous Delivery (CI/CD), der von Azure DevOps angeboten wird.
• Verwenden Sie eine ARM-Vorlage (Azure Resource Manager), um Azure-Infrastrukturkomponenten bereitzustellen.
• Verwenden Sie VM-Erweiterungen zum Konfigurieren beliebiger anderer Lösungskomponenten in der Azure-Infrastruktur.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.

• Stellen Sie eine Azure-VM-Skalierungsgruppe bereit, die Webserver-VM-Instanzen in einer Näherungsplatzierungsgruppe ausführt. Bei diesem Ansatz werden VM-Instanzen am gleichen Ort bereitgestellt, um die Wartezeit zwischen VMs zu verringern.
• Verwenden Sie Azure-VMs mit beschleunigtem Netzwerkbetrieb, um einen Netzwerkdurchsatz von bis zu 30 GBit/s zu erreichen.
• Konfigurieren Sie das Zwischenspeichern von Azure-Datenträger-Hosts als schreibgeschützt, um den Datenträgerdurchsatz zu erhöhen.
• Konfigurieren Sie die automatische Azure-Skalierung, um die VM-Instanzen anhand von Metriken wie CPU- oder Arbeitsspeicherauslastung hochzuskalieren.
• Verwenden Sie Load Balancer in einer zonenredundanten Konfiguration. Wenn Sie diese Konfiguration verwenden, können Sie Benutzeranforderungen so weiterleiten, dass sie nicht von einem Zonenausfall in einer Azure-Region betroffen sind.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautoren:

• Gansu Adhinarayanan | Director – Partner Technology Strategist
• Mahesh Kshirsagar | Senior Cloud Solution Architect
• Ravi Sharma | Senior Cloud Solution Architect

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

• Einführung in verwaltete Azure-Datenträger
• Was ist Azure ExpressRoute?
• Was ist Azure Virtual Network?
• Was ist Azure Firewall?
• Was ist Azure Load Balancer?
• Verfügbarkeitszonen
• Erweiterungen für virtuelle Azure-Computer

Zugehörige Ressourcen

• SWIFT Alliance Connect Virtual in Azure
• SWIFT Alliance Access mit Alliance Connect Virtual
• SWIFT Alliance Cloud in Azure
• SWIFT Alliance Lite2 in Azure